برنامج تسجيل شفافية الشهادات من Apple

تعرّف على سياسات برنامج سجل شفافية الشهادات من Apple وكيفية التقدم بطلب تضمين.

يتمثل الهدف من برنامج سجل شفافية الشهادات من Apple في إنشاء مجموعة من سجلات شفافية الشهادات (CT) الموثوق بها على أنظمة Apple الأساسية من أجل توفير الطوابع الزمنية للشهادة الموقعة (SCT) لشهادات اعتماد خادم TLS ‎‏ الموثوق بها بشكل عام.

سياسات ومتطلبات البرنامج

RFC 6962

للنظر في طلب التضمين في برنامج سجل شفافية الشهادات من Apple، يجب للسجل المتوافق مع RFC 6962:

  • تنفيذ شفافية الشهادات (CT) كما هو محدد بواسطة RFC 6962.

  • ألا يتضمن اثنين أو أكثر من طرق العرض المتضاربة لخوارزمية Merkle Tree في أوقات مختلفة و/أو لجهات مختلفة.

  • تلبية متطلبات وقت التشغيل من Apple بنسبة 99%، كما يتم قياسه بواسطة Apple.

  • عدم تحديد حد أقصى لمهلة الدمج (MMD) الذي يتجاوز 24 ساعة.

  • تضمين شهادة أنشأت طابع زمني للشهادة الموقعة (SCT) لها ضمن الحد الأقصى لمهلة الدمج (MMD).

  • الوثوق في جميع شهادات المرجع المصدّق (CA) الجذرية المضمنة في متجر Apple للشهادات ذات الثقة.

    • قد تثق السجلات في الشهادات الجذرية غير المدرجة في متجر Apple للشهادات ذات الثقة.

قد يقوم السجل الذي يتوافق مع RFC 6962 بما يلي:

  • رفض الشهادات منتهية الصلاحية.

  • رفض الشهادات التي تم إبطالها.

  • رفض شهادات Leaf التي لا تحتوي على استخدام المفتاح الموسع id-kp-serverAuth.

    • يجب على مشغلي السجلات تقديم إشعار كتابي مسبق لا تقل مدته عن 45 يومًا إلى certificate-transparency-program@group.apple.com بشأن أي تغييرات تطرأ على أنواع شهادات leaf التي تقبلها السجلات.

STATIC-CT-API

للنظر في طلب التضمين في برنامج سجل شفافية الشهادات من Apple، يجب للسجل المتوافق مع مواصفة static-ct-api C2SP:

  • تنفيذ شفافية الشهادات (CT) كما هو محدد بواسطة واجهة برمجة التطبيقات الثابتة لشفافية الشهادات، الإصدار 1.0.0.

  • ألا يتضمن اثنين أو أكثر من طرق العرض المتضاربة لخوارزمية Merkle Tree في أوقات مختلفة و/أو لجهات مختلفة.

  • تلبية متطلبات وقت التشغيل من Apple بنسبة 99%، كما يتم قياسه بواسطة Apple.

  • عدم تحديد حد أقصى لمهلة الدمج (MMD) الذي يتجاوز دقيقة واحدة.

  • تضمين شهادة أنشأت طابع زمني للشهادة الموقعة (SCT) لها ضمن الحد الأقصى لمهلة الدمج (MMD).

  • الوثوق في جميع شهادات المرجع المصدّق (CA) الجذرية المضمنة في متجر Apple للشهادات ذات الثقة.

    • قد تثق السجلات في الشهادات الجذرية غير المدرجة في متجر Apple للشهادات ذات الثقة.

قد يقوم السجل المتوافق مع مواصفة static-ct-api C2SP بما يلي:

  • رفض الشهادات منتهية الصلاحية.

  • رفض الشهادات التي تم إبطالها.

  • رفض شهادات Leaf التي لا تحتوي على استخدام المفتاح الموسع id-kp-serverAuth.

    • يجب على مشغلي السجلات تقديم إشعار كتابي مسبق لا تقل مدته عن 45 يومًا إلى certificate-transparency-program@group.apple.com بشأن أي تغييرات تطرأ على أنواع شهادات leaf التي تقبلها السجلات.

حالات السجلات على أنظمة Apple الأساسية

يمكن أن يكون السجل المضمن على أنظمة Apple الأساسية بإحدى الحالات التالية:

Pending (معلق)

طلب السجل التضمين في قائمة سجلات Apple الموثوق بها، لكنه لم يُقبل بعد. لا يُعتبَر السجل المعلق كسجل "مؤهل حاليًا" أو "مؤهل مرة واحدة".

Qualified (مؤهل)

تم قبول السجل في برنامج Apple وتعيينه للتوزيع على أنظمة Apple الأساسية. لا يُعتبَر السجل المؤهل كسجل "مؤهل حاليًا".

Usable (قابل للاستعمال)

يمكن الاعتماد على الطوابع الزمنية للشهادات الموقعة (SCT) من السجل في استيفاء سياسة شفافية الشهادات (CT) لعميل Apple. يُعتبَر السجل القابل للاستعمال كسجل "مؤهل حاليًا". تنتقل السجلات من الحالة "مؤهل" إلى الحالة "قابل للاستخدام" بعد أن تظل بالحالة "مؤهل" لفترة لا تقل عن 74 يومًا.

للقراءة فقط

يكون السجل موثوقًا به على أنظمة Apple الأساسية، ولكن للقراءة فقط؛ أي أن السجل قد توقف عن قبول عمليات إرسال الشهادات. لا يُعتبَر السجل الذي للقراءة فقط كسجل "مؤهل حاليًا".

منتهي الصلاحية

كان السجل موثوقًا به على أنظمة Apple الأساسية حتى الوصول إلى الطابع الزمني المحدد لانتهاء الصلاحية. يُعتبَر السجل منتهي الصلاحية كسجل "مؤهل مرة واحدة" إذا كان طابع SCT ذو الصلة قد تم إصداره قبل الطابع الزمني لانتهاء الصلاحية. لا يُحتسب السجل منتهي الصلاحية كسجل "مؤهل حاليًا".

Rejected (مرفوض)

السجل ليس ولن يصبح موثوقًا به على أنظمة Apple الأساسية. لا يُعتبَر السجل المرفوض كسجل "مؤهل حاليًا" أو "مؤهل مرة واحدة".

عملية التضمين

بعد قبول السجل في برنامج سجل شفافية الشهادات من Apple، تتم مراقبة السجل لمدة معينة للتأكد من امتثاله لسياسة Apple. وخلال هذه الفترة، تكون حالة السجل "معلق".

يجوز لـ Apple رفض أي سجل، حسب تقديرها. وفي هذه الحالة، تتحول حالة السجل إلى "مرفوض". إذا لم تكتشف Apple أي مشاكل أثناء فترة المراقبة، يمكن قبول السجل، وحينئذٍ تصبح حالة السجل "مؤهل".

تراقب Apple السجل بصفة مستمرة للتأكد من امتثاله لسياسات برنامج التسجيل. وخلال هذه الفترة، قد تكون حالة السجل "مؤهل" أو "قابل للاستعمال" أو "للقراءة فقط" أو "تم إيقافه".

يجوز إنهاء صلاحية السجل في أي وقت حسب تقدير Apple أو نتيجة لعدم الالتزام بسياسات برنامج التسجيل. وحينئذٍ تصبح حالة السجل "منتهي الصلاحية".

التقدم بطلب للتضمين

للتقدم بطلب تضمين في برنامج سجل شفافية الشهادات من Apple، أرسل رسالة بريد إلكتروني إلى certificate-transparency-program@group.apple.com

  • وصف السجل، بما في ذلك:

    • سياسة قبول الشهادات، إن وجدت

    • وسياسة رفض تسجيل الشهادات، إن وجدت

    • قائمة بالشهادات الجذرية المقبولة من قبل بصمة DN وSHA256

    • والمواصفة (RFC 6962 أو static-ct-api) التي يتوافق معها السجل.

  • عنوان URL لخادم سجل CT يمكن الوصول إليه بشكل عام (HTTP).

  • المفتاح العام للسجل (ترميز DER لبنية SubjectPublicKeyInfo ASN.1).

  • الحد الأقصى لمهلة الدمج (MMD) للسجل.

  • نطاق انتهاء صلاحية الشهادة المقسمة زمنيًا للسجل بما في ذلك:

    • قيمة end_exclusive بالتنسيق الدولي للتاريخ والوقت ISO 8601 بالتوقيت العالمي المنسق (UTC)

    • قيمة start_inclusive بالتنسيق الدولي للتاريخ والوقت ISO 8601 بالتوقيت العالمي المنسق (UTC).

  • معلومات جهات الاتصال، بما في ذلك عناوين البريد الإلكتروني لجهتي اتصال من فريق عمليات المشغل وجهتي اتصال من فريق ممثليه.

يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.

تاريخ النشر: